网络钓鱼（英文为Phishing，与钓鱼的英语fishing发音相近，又名钓鱼法或钓鱼式攻击），传统意义上指的是利用伪造银行网站的方式，窃取用户银行帐号的行为。但随着网络应用的复杂，网上出现了很多“钓鱼”的新形式。

　　瑞星认为，凡是企图利用人们对著名品牌、网站和机构的信任，通过网络进行诈骗活动的行为，都可以称为“网络钓鱼”。由于绝大多数钓鱼网站无木马病毒或恶意代码，所以传统安全厂商很难全面监控并及时处理钓鱼网站的威胁。2010年，瑞星截获的钓鱼网站数量出现爆发性增长，从去年的13万增加到175万个，增加11倍。

　　图6 “QQ刷钻王”，当用户使用时，会诱骗网民订购手机套餐

　　在所有的钓鱼网站中，假淘宝、假QQ、假非常6+1、假工商银行和假新浪，成为钓鱼网站中的五大常见种类，这五大类网站占据了所有假冒网站的76%。这些钓鱼网站通常使用与被模仿的著名网站相似的域名，采用聊天软件、电子邮件等方式传播。以“大抽奖”、“两折机票”、“百元电脑”等方式进行诈骗。

　　第四节 2010年病毒特点

　　木马窃取的目标从网游转向网银

　　从瑞星截获病毒样本的数量、受害网民求助案例的数量来看，本年度木马病毒窃取的主要目标从网游、QQ等虚拟财产，全面转向网银和支付帐户，所有主流网络银行和第三方支付工具，都有受害案例出现。

　　针对性病毒的数量，与网银、支付工具的市场地位密切相关，比如在网络购物领域，有多种木马和钓鱼网站是针对淘宝、工商银行编写，其客户端一旦出现漏洞，马上就会被黑客利用，编写相对应的木马。

　　本年度最典型的病毒，当属在网上泛滥的“网银超级木马”病毒，它是国内罕见的首个针对大量网银支付平台的病毒。其盗取用户钱财的手段采取了劫持用户支付页面的方式，而非传统的直接盗取账号密码。

　　目前的网银木马主要攻击目标就是针对网络交易的HTTP接口中的购物网站与支付网站之间的衔接认证上存在的薄弱环节。就目前得到的针对国内网络交易的网银木马分析情况来看，主要的攻击手段为替换交易流程中的交易请求，将交易对象混淆，诱导交易者错误地将现金支付给其他账户，从而骗取现金。

　　病毒和木马的钓鱼式传播

　　图7 这些病毒看上去很像图片，但其实是exe格式的病毒

　　由于杀毒软件的防挂马等技术的日益成熟，之前的通过网页挂马入侵成功的概率越来越小。进入2010年，黑客开始更多地采用钓鱼式传播。

　　以“网银超级木马”病毒为例，黑客先在淘宝、拍拍等购物网站建立网店，然后通过聊天工具将诸如“细节图”、“报价”、“实物图”等名称的文件发给买家，这些文件图标一般为图片图标，买家打开后病毒会在后台运行，骗取钱财的成功率非常高。

　　瑞星公司截获到的最早的“网银超级木马”病毒始于2010年7月份，截止到12月份，共截获到该病毒的200余个变种。

　　不良下载站故意传播低烈性病毒

　　由于本年度电子商务网站的大量增加，导致“改IE，赚广告”这种方式非常赚钱，使得很多电影下载站、网游外挂网站等都采用了这种方式。

　　以最近流行的《让子弹飞》电影为例，搜索在线电影网站，不难发现有这样一些网站：

　　图8 这个所谓的“本站专用软件”，其实就是不良程序

　　有些不良的在线观看网站借助安装本站专用网站的机会诱使用户安装病毒，甚至以“本站播放的是盗版电影，会遭到瑞星等软件拦截”等为由诱使用户关闭杀毒软件。年初发现的虎虎生威系列病毒变种就是以QVOD播放器下载为诱饵传播的。

　　病毒与杀毒软件对抗的四种手段

　　2010年，黑客用来与杀毒软件对抗的技术手段主要有四种：

　　阻止杀毒软件联网，使“云安全”失去作用。

　　目前有多种杀毒软件为了追求“体积小、占用内存小”而采用了彻底的“云查杀”方式来对付病毒，遇到病毒时需要连接服务器，读取病毒的特征码之后再进行查杀。一旦不能联网，采用该技术的杀毒软件就变得形同虚设。

　　针对这些杀毒软件的“云查杀弱点”，病毒采用了各种手段切断杀毒软件的升级渠道。采用的方法有安装过滤驱动，添加IPSEC策略，添加路由表规则，添加DNS劫持，winsock组件劫持等等。最典型的当属今年流行的“狗皮膏”木马病毒。

　　自动增肥，给杀毒软件采集样本制造障碍

　　目前绝大多数杀毒软件遇到可疑文件时都会上传到服务器，对这些采集到的样本进行分析后加入病毒库，实现对病毒的查杀。

　　传统病毒的体积很小，这样比较有利于传播。有些杀毒软件也针对这个特点，对可疑文件的上报做了限制，超过一定大小的就不再上传；有些“云查杀”杀毒软件为了快速查杀，也主动忽略了某些较大文件的查杀，这就给病毒以可乘之机。很多病毒在复制自身的时候，会不断的向文件内写入垃圾数据，使得文件变得很大，这样就可以躲过杀毒软件的上传甚至查杀。某些病毒的体积，甚至超过100M，相当于一集电视剧的体积。

　　盗用正规软件签名，绕过杀毒软件查杀。

　　正规商业软件通常会有自己独特的“数字签名”，杀毒软件遇到带有签名的软件时会主动放过。由于有些公司对于自己的“数字签名”管理不严格，造成有的签名被病毒盗用，从而绕过杀毒软件的查杀。例如“超级工厂”病毒，就盗用了某声卡厂商的签名，让杀毒软件认为自己是正常的声卡驱动，从而躲过杀毒软件的查杀。

　　图9 某病毒中带有的数字签名

　　多种正规软件存在安全性缺陷，被病毒利用来传播

　　2010年，由于多种正规软件存在安全性缺陷，被病毒利用来传播。如农业银行软件ABCChina.exe运行Feitian.exe缺陷等。